Solar inCode
 

Solar inCode

Продукт
Разработчики: Solar Security (Солар Секьюрити)
Дата премьеры системы: 2015/10/29
Дата последнего релиза: 2017/10/17
Технологии: Средства разработки приложений

Содержание

2017

Выпуск версии 2.6

Компания Solar Security 17 октября 2017 года представила очередную версию Solar inCode. Ключевым обновлением версии 2.6 стала поддержка языка программирования Solidity, который используется для создания смарт-контрактов, предназначенных для заключения сделок в рамках технологии блокчейн.

« Смарт-контакты опасны тем, что популярность этих инструментов опережает их защищенность, при том что в случае успешной атаки пользователи могут потерять реальные деньги. Поэтому мы считаем важным быстро адаптировать Solar inCode к изменяющимся потребностям рынка, — подчеркнул Даниил Чернов, руководитель направления Solar inCode компании Solar Security. »

Кроме того, Solar inCode теперь умеет искать ошибки и уязвимости в HTML5, что позволяет разработчикам быть уверенными не только в современности и удобстве, но и в защищенности создаваемых веб-приложений.

Технология анализа приложений, написанных на C/C++, также была улучшена и доработана. Анализ исходного кода теперь поддерживает сборку проектов с помощью Visual Studio, а база правил поиска уязвимостей была расширена. Также дополнена база правил поиска уязвимостей для языков ABAP и Delphi.

В то же время, в версии 2.6 впервые реализована возможность загружать с локального компьютера проект в виде архива с расширениями .7z, .ear, .aar, .rar, .tar.bz2, .tar.gz, .tar, .cpio. В рамках повышения общего уровня usability интерфейс решения также дополнительно доработан.

Еще одно важное направление — легкое встраивание Solar inCode в процесс безопасной разработки приложений (SDLC) — получило поддержку в виде плагина к серверу непрерывной интеграции Jenkins и возможности отслеживать статус сканирования по электронной почте.

При этом отчеты о сканированиях теперь можно выгружать в соответствии с классификацией уязвимостей по HIPAA — в дополнение к классификациям OWASP Top 10 2013, OWASP Mobile Top 10 2014, OWASP Mobile Top 10 2016 и PCI DSS, что упрощает разработчикам задачу по соответствию нормам и стандартам регуляторов.

Выпуск версии 2.4

12 июля 2017 года компания Solar Security объявила о выходе версии 2.4 сканера кода Solar inCode.

Разработчики усовершенствовали технологии работы с уже поддерживаемыми языками программирования и добавили поддержку новых[1].

В Solar inCode 2.4 расширены базы правил поиска уязвимостей для бинарного кода C/С++ (.exe- и .dll-файлы). Список поддерживаемых языков программирования дополнился Delphi и ABAP (Advanced Business Application Programming), который используется для разработки приложений под платформу SAP. Поддержка ABAP позволит компаниям контролировать уровень защищенности бизнес-приложений SAP. Solar inCode оптимизирован для интеграции в процесс безопасной разработки приложений (SDLC), версия 2.4 помогает заказчикам повысить уровень безопасности приложений под SAP, не меняя привычные процессы разработки и тестирования.

« Ранние версии продукта поддерживали преимущественно языки разработки мобильных и веб-приложений. Постепенно мы дополняли этот список, чтобы расширить пул решений, с которыми может работать Solar inCode. За такой функциональностью, как возможность сканирования кода на языке ABAP или бинарного кода C/С++ стоят серьезные научно-технические исследования, и мы рады, что они наконец нашли практическое воплощение в Solar inCode.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

Процесс работы решения в рамках SDLC оптимизирован для повышения уровня автоматизации. Solar inCode 2.4 позволяет производить сравнение результатов сканирования и отслеживать количество устраненных уязвимостей. Это упрощает контроль защищенности разрабатываемого ПО и делает работу с Solar inCode удобнее и интуитивно понятнее.

В версии появилась диаграмма распространения данных (трассы) для уязвимостей Java/Scala- и Android-приложений.

Специально для разработчиков мобильных приложений в Solar inCode 2.4 в дополнение к OWASP и PCI DSS реализована возможность выгрузки отчетов согласно классификации уязвимостей OWASP Mobile Top 10 2016.

Интерфейс Solar inCode 2.4 усовершенствован, чтобы процесс работы с продуктом был интуитивно понятным.

« Solar Security следует идеологии, в соответствии с которой даже самые сложные технологии должны быть представлены пользователям через простые и понятные интерфейсы. Поэтому оптимизация и доработка интерфейса Solar inCode ведутся постоянно, от версии к версии. Нам очень важно, чтобы и разработчик, и безопасник могли с одинаковой легкостью использовать этот инструмент проверки уровня защищенности кода.
»

Solar inCode 2.3

19 апреля 2017 года компания Solar Security заявила о выпуске версии сканера кода Solar inCode 2.3. Основные особенности — «коробочная» интеграция с JIRA, анализ мультиязычных приложений и модуль бинарного анализа приложений на C/C++.

Solar inCode 2.3 выполняет статический анализ .exe- и .dll-файлов, написанных на С/С++ для архитектуры х64 и х86. Эта функциональность Solar inCode 2.3 позволит службе безопасности проверять уровень защищенности используемых в компании приложений без доступа к исходному коду — в случаях с так называемым «унаследованным ПО» или приложениями, разработка которых отдана на аутсорсинг[2].

« Мы фокусируемся на усилении возможности анализировать приложения без доступа к исходному коду. Очередным шагом в этом направлении стал статический анализ .exe- и .dll-файлов, написанных на С/С++. Мы получали от клиентов много запросов на функциональность, но ввиду специфики языков С/С++ реализовать ее в продукте было достаточно сложно. У нас ушло много времени на исследования и разработку.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

Если в приложении используется несколько языков программирования, Solar inCode 2.3 автоматически определит их и сканирует приложение в обычном режиме. При этом пользователь может выбрать - сканировать приложение целиком или только часть кода на определенном языке.

Solar inCode 2.3 предлагает пользователям коробочную интеграцию с JIRA. После сканирования приложения пользователь может сразу создать задачу по исправлению найденных уязвимостей - через интерфейс Solar inCode.

В этой версии содержится ряд доработок имеющейся функциональности: в Solar inCode 2.3 появились новые описания уязвимостей, правила поиска уязвимостей для поддерживаемых языков программирования. Алгоритмы анализа потоков данных при поиске уязвимостей для языка PHP также дополнительно оптимизированы.

Усовершенствования затронули интерфейс Solar inCode 2.3.

Solar inCode 2.2

7 февраля 2017 года компания Solar Security объявила о выходе версии Solar inCode. Основное усовершенствование в этой версии - модули динамического и интерактивного анализа (DAST/IAST) с двумя режимами работы — fuzzing-методов и fuzzing-запросов.

« Сейчас, когда продукт вышел на определенный уровень зрелости, мы определяем направления развития, исходя из потребностей наших клиентов. Это касается списка поддерживаемых языков, отчетности, интерфейса, новых технологий и так далее. Несмотря на сложность технологий, лежащих в основе Solar inCode, мы, как и раньше, стремимся сделать использование продукта простым и понятным, в том числе для сотрудников безопасности, у которых не всегда есть опыт разработки.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

В этой версии расширен список поддерживаемых языков программирования:

  • C/C++ (в том числе с использованием OpenMP),
  • Ruby,
  • T-SQL
  • Visual Basic 6.0.

В состав Solar inCode 2.2 вошли правила поиска уязвимостей для языков программирования, поддерживаемых в ранних версиях — Java, Scala, PHP, Objective-C, Java for Android, JavaScript, Swift, Python 2, Python 3, PL/SQL и C# [3].

Solar inCode 2.2 предлагает расширенные возможности анализа iOS-приложений. Поддержка языка программирования Swift 3, интеграция со средой разработки XCode 8 и компилятором Apple Clang 8.0 обеспечивают максимальный охват iOS-приложений, доступных для анализа, подчеркнули в Solar Security. Модуль загрузки iOS-приложений из App Store поддерживает все актуальные версии операционной системы iOS.

Результаты сканирования можно выгружать, приоритизируя уязвимости согласно классификации OWASP Top 10 2013, OWASP Mobile Top 10 2014 или PCI DSS 3.2.

В версии 2.2 разработчики уделили внимание развитию аналитических инструментов. Встроенный модуль межпроектной аналитики позволяет объединять проекты в группы для получения совокупной информации по проектам в рамках группы. Пользователям доступна статистика по количеству операций сканирования, времени сканирования, количеству строк кода, рейтингу безопасности и количеству уязвимостей с выбором уровня критичности. Все показатели могут представляться в виде графиков, отражающих динамику изменений.

С версии 2.2 продукт совместим с операционными системами CentOS и macOS.

2016

Solar inCode SaaS

26 октября 2016 года компания Solar Security объявила о предоставлении выводе Solar inCode в доступ по модели Software-as-a-Service (SaaS).

Solar inCode в облачном формате ориентирован на компании, где потребности в проверке безопасности кода приложений возникают время от времени[4].

Скриншот из презентации Solar inCode, (2015)
« Solar inCode из "облака" — это, по сути, enterprise-решение в розничной конфигурации. Компании, которым не подходят стандартные лицензии на большое число сканирований, раньше не могли воспользоваться нашим продуктом. Теперь мы готовы предложить Solar inCode и этой категории заказчиков, что позволит популяризовать саму технологию и повысить уровень защищенности российских компаний.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

Solar inCode 2.0 — технология для проверки безопасности приложений методом статического анализа, которое функционирует при наличии у проверяющего исходного кода и при отсутствии доступа к нему. Solar inCode 2.0 помогает выявить уязвимости и незадекларированные возможности в программном обеспечении. Решение способно анализировать наиболее распространенные языки программирования, все мобильные и большинство веб-приложений.

Solar inCode 2.0

Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила летом 2016 года обновление Solar inCode — решения, способного проверять безопасность приложений методом статического анализа даже при отсутствии исходного кода. Solar inCode 2.0 предлагает расширенный список анализируемых языков, интуитивно понятный пользовательский интерфейс, а также оптимизированные технологии выявления уязвимостей и недекларированных возможностей в программном обеспечении.

По словам разработчиков, большое число изменений в данной версии Solar inCode направлено на упрощение логики взаимодействия с пользователем. Дизайн интерфейса был переработан и улучшен так, что интерпретация данных, полученных от Solar inCode, больше не требует от пользователя глубокой технической экспертизы.

В дополнение к языкам программирования Java, Scala, PHP, Objective C, Java for Android, поддержка которых была реализована в первой версии решения, Solar inCode 2.0 теперь анализирует приложения, написанные на JavaScript, Swift, Python 2, Python 3, PL/SQL и C#. Таким образом, решение охватывает наиболее распространенные языки программирования и способно анализировать все мобильные и большинство веб-приложений.

Для упрощения работы в ходе регулярных проверок кода Solar inCode 2.0 позволяет редактировать правила поиска уязвимостей и отмечать ложные срабатывания. Такое обучение позволяет создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы уязвимостей и недекларированных возможностей.

Интерфейс Solar inCode, помимо русского, теперь локализован и на английский язык. Кроме того, в соответствии с пожеланиями пользователей в новой версии добавлена возможность работы через командную строку. Пользователи могут автоматизировать проверку новых сборок ПО и, как следствие, встроить Solar inCode в процесс безопасной разработки (SDLC). Новая версия также позволяет разграничить доступ пользователей к ПО, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта.

«В первой версии продукта акцент был сделан на технологиях деобфускации и декомпиляции, а также на системе отчетности с подробными рекомендациями по устранению найденных уязвимостей, — рассказал Чернов Даниил, руководитель направления Solar inCode компании Solar Security. — Вторая версия Solar inCode, помимо инновационных методов анализа ПО, предлагает простой, удобный и понятный интерфейс, что делает решение доступным для максимального числа пользователей и выводит его на новые сегменты рынка».

2015

Релиз Solar inCode

29 октября 2015 года компания Solar Security объявила о выпуске продукта для анализа программного обеспечения.

Анализ приложений проводится методом «белого ящика» и при отсутствии исходного кода. Технологии деобфускации и декомпиляции, реализованные в Solar inCode, позволяют восстановить исходный код с высокой степенью точности, даже если к нему применили обфусцирующие (запутывающие) преобразования. Для повышения качества анализа кода используются четыре различных технологических решения, включая taint-анализ, для снижения количества ложных срабатываний – технологический модуль Fuzzy Logic Engine с авторскими алгоритмами фильтрации уязвимостей.

«Можно сказать, что inCode – это продукт, в котором научная мысль нашла свое достойное техническое воплощение. В команде разработки три кандидата наук, двое из которых защитили свои диссертации по декомпиляции кода, поэтому заложенные в продукт технологии дают принципиально новый уровень его использования: как с точки зрения удобства, так и с точки зрения эффективности оценки защищенности приложений», – отметил Даниил Чернов, руководитель направления inCode компании Solar Security.

Solar inCode создан как инструмент для специалистов по безопасности - продукт выдает детальные рекомендации по настройке наложенных средств защиты (SIEM, WAF, NGFW), блокирующих возможности эксплуатации уязвимостей до их устранения. Для разработчиков же предусмотрены отчеты с описанием выявленных уязвимостей со ссылками на соответствующие участки кода и рекомендации по их устранению путем внесения изменений в код, что существенно упрощает задачи разработки.

На 29 октября 2015 года Solar inCode позволяет анализировать онлайн и мобильные приложения, написанные на самых популярных языках: Java, Scala, PHP, Objective C, Java for Android. В планах по развитию продукта расширение списка анализируемых языков: JavaScript, PL/SQL, и С#.

«За последнее время риски эксплуатации уязвимостей программного кода значительно выросли, – заявил Игорь Ляпунов, генеральный директор Solar Security, – по нашим данным, которые содержат отчеты JSOC, более 60 % успешных кибератак, нацеленных на внешние бизнес-приложения, реализуются через уязвимости в ПО. При том, что тема безопасности приложений достаточно нова, большинство профессионалов в области безопасности понимают, что от качества кода стала напрямую зависеть защищенность информации, денег, а подчас и целых компаний».

Solar inCode

На 29 октября 2015 года Solar inCode - инструмент статического анализа кода, предназначен для выявления уязвимостей и не декларированных возможностей (НДВ) в программном обеспечении.

Примечания





Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2014 год
2015 год
2016 год
Текущий год

  Microsoft (56, 45)
  IBM (41, 18)
  Oracle (61, 16)
  Red Hat (16, 9)
  Консид Технологии (ConsID) (5, 7)
  Другие (304, 78)

  Microsoft (3, 7)
  IBM (3, 3)
  Red Hat (2, 2)
  Oracle (2, 2)
  SAP SE (1, 2)
  Другие (4, 4)

  Microsoft (2, 4)
  IBM (3, 3)
  Red Hat (3, 3)
  Dassault Systemes (2, 3)
  Oracle (2, 3)
  Другие (9, 11)

  Oracle (2, 4)
  Red Hat (3, 3)
  Microsoft (2, 3)
  IBM (2, 2)
  Solar Security (Солар Секьюрити) (1, 2)
  Другие (8, 8)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2014 год
2015 год
2016 год
Текущий год

  Windows Azure - 20 (20, 0)
  IBM Rational - 8 (5, 3)
  Microsoft.NET Framework - 8 (8, 0)
  Microsoft Visual Studio - 7 (3, 4)
  JBoss - 7 (4, 3)
  Другие 114

  Microsoft.NET Framework - 3 (3, 0)
  Target Zero Defect - 2 (2, 0)
  Java Platform Enterprise Edition (Java EE) - 2 (2, 0)
  PTC ThingWorx - 2 (2, 0)
  JBoss - 2 (1, 1)
  Другие 15

  Microsoft.NET Framework - 2 (2, 0)
  Oracle Database Cloud Service - 2 (2, 0)
  Oracle Java as a Service - 2 (2, 0)
  JBoss - 2 (1, 1)
  Solar inCode - 2 (2, 0)
  Другие 11